Overzicht cyberaanvallen week 11-2022

Gepubliceerd op 21 maart 2022 om 15:00

Toyota leverancier Denso geraakt door cyberaanval, cyberaanval op Duitse dochter Russisch olieconcern Rosneft en cyberaanval op geldautomaten. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 4.500 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.

Status op 21 maart 2022 : 4.882



Week overzicht

Slachtoffer Cybercriminelen Website Land
Nestle KelvinSecurity www.nestle.com Switzerland
Banco do Brasil KelvinSecurity www.bb.com.br Brazil
Confederation of Indian Industry (CII) KelvinSecurity www.cii.in India
CORT KelvinSecurity www.cort.com USA
BERITASATUMEDIA.COM BlackCat (ALPHV) beritasatumedia.com Indonesia
Herbert Slepoy Co Karakurt www.slepoycorp.com USA
STUDIO PEREGO S.R.L. LockBit studioperego.pro Italy
rh-europe.com LockBit rh-europe.com France
onglesdor.com LockBit onglesdor.com Canada
besp-oak.com LockBit besp-oak.com UK
tomlinsonelectric.com LockBit tomlinsonelectric.com USA
chicagosteelgroup.com LockBit chicagosteelgroup.com USA
GRS Group Conti www.grsroadstone.co.uk UK
ROXCEL Trading GmbH Conti www.roxcel.at Austria
zabel-group.de LockBit zabel-group.de Germany
ismea.it LockBit ismea.it Italy
bbst-clp.de LockBit bbst-clp.de Germany
museum-dingolfing.de LockBit museum-dingolfing.de Germany
HAVI Logistic BlackCat (ALPHV) havilog.com USA
Scottish Association for Mental Health RansomEXX www.samh.org.uk UK
connectcec.com LockBit connectcec.com USA
Grcouceiro Haron www.grcouceiro.com Spain
Royal LePage Karakurt www.royallepage.ca Canada
Allied Eagle Supply Conti www.alliedeagle.com USA
MJH Life Sciences Conti www.mjhlifesciences.com USA
PFC USA Conti www.pfcusa.com USA
BAUKING Conti bauking.de Germany
denro.ca LockBit denro.ca Canada
jewelry.org.hk LockBit jewelry.org.hk Hong Kong
Normandeau Associates, Inc. Conti www.normandeau.com USA
bChannels Ltd. Conti www.bchannels.com UK
BDX Conti bdx.se Sweden
Talent Logic Inc. Conti www.talentlogic.com USA
NORDEX FOOD Conti nordexfood.dk Denmark
NSM Insurance Group Hive nsminc.com USA
megaproductos.com.ec LockBit megaproductos.com.ec Guademala
solvi.com LockBit solvi.com Brazil
vri.maniberia.net BlackCat (ALPHV) vri.maniberia.net Unknown
genesis.ky LockBit genesis.ky Cayman Islands
draftex.de LockBit draftex.de Germany
kbkbcpa.com LockBit kbkbcpa.com USA
centralaccident.com LockBit centralaccident.com Unknown
dgordonlcswr.com LockBit dgordonlcswr.com USA
gezairi.com LockBit gezairi.com Lebanon
BMW CHILE KelvinSecurity www.bmw.cl Chile
BEXIMCO KelvinSecurity www.beximco.com Bangladesh
Cellulant Corporation KelvinSecurity www.cdcgroup.com Kenya
Equicom SAVINGS BANK KelvinSecurity www.equicomsavings.com Philippines
eGOV KelvinSecurity Unknown USA
ICONIC KelvinSecurity www.iconic-broker.mx Mexico
caribetours KelvinSecurity caribetours.com.do Dominican Republic
CARACOL TV COLOMBIA KelvinSecurity www.caracoltv.com Colombia
ANTEL KelvinSecurity www.antel.com.uy Uruguay
Salvadoran Ministry of Foreign Affairs KelvinSecurity Unknown El Salvador
TIG Conti www.tig.com USA
Round Oak Minerals Conti roundoak.com.au Australia
Argo Turboserve Conti www.argoturbo.com USA
Sheppard Conti www.rhsheppard.com USA
Snap-on Incorporated Conti www.snapon.com USA
South Africa Electricity company Everest Unknown South Africa
Noble Oil BlackCat (ALPHV) nobleoil.com USA
FitFlop Ltd. Suncrypt fitflop.com UK
ihg.com LockBit ihg.com UK
rosslare.com.hk LockBit rosslare.com.hk Hong Kong
hilltopconstructionco.com LockBit hilltopconstructionco.com USA
aetnabridge.com LockBit aetnabridge.com USA
specialinc.com LockBit specialinc.com USA
lawsdn.com LockBit lawsdn.com USA
montanarisrl.net LockBit montanarisrl.net Italy
finances.gouv.cg LockBit finances.gouv.cg Democratic Republic of the Congo
thionvillenola.com LockBit www.thionvillenola.com USA
unapen.internal BlackCat (ALPHV) unapen.internal Unknown
Boralex AvosLocker boralex.com Canada
M.T.B. BlackCat (ALPHV) www.mtb-france.com France
taguefamilypractice.com LockBit taguefamilypractice.com USA
comune.villafranca.vr.it LockBit comune.villafranca.vr.it Italy
drory.com.cn LockBit drory.com.cn China
Core Design STORMOUS core-design.com UK
vvrmc.org LockBit vvrmc.org USA
Onedoc LockBit Unknown Switzerland
rebuildingtogether.org LockBit www.rebuildingtogether.org USA
sbctanzania.co.tz LockBit sbctanzania.co.tz Tanzania
vbsharma.ca LockBit vbsharma.ca Canada
matteolisrl.it LockBit matteolisrl.it Italy
Bullfrog International BlackCat (ALPHV) bullfrogspas.com USA
Milan Institute Conti milaninstitute.edu USA
medinadairy.co.uk LockBit medinadairy.co.uk UK
Migros Suncrypt www.migros.ch Switzerland
Instituto Nacional de Tecnología Agropecuaria Everest www.argentina.gob.ar Argentina
Kemutec Conti www.kemutec.com USA
Empire Electronics Inc. Conti www.empireelectronics.com USA
Fuji America Corporation Lorenz www.fujiamerica.com USA
VadaTech Lorenz vadatech.com USA
Ward Hadaway Lorenz www.wardhadaway.com UK
UK GOV Everest Unknown UK
fantasy company Black Shadow fantasy.co USA
Viva Air RansomEXX www.vivaair.com Colombia
Monteleone & McCrory LLP BlackCat (ALPHV) www.mmlawyers.com USA
Smith Transport Ragnar_Locker smithtransport.com USA
UK's Ministry of Defence LeakTheAnalyst apply.army.mod.uk UK
Managed Business Solutions Conti mbs.com USA

In samenwerking met DarkTracer


Google geeft details over criminelen die toegang voor ransomwaregroep regelen

Google heeft details gegeven (pdf) over criminelen die toegang voor ransomwaregroepen regelen en hiervoor onder andere een zerodaylek in Internet Explorer gebruikten. Initial access brokers, zoals dergelijke partijen worden genoemd, spelen volgens Google een belangrijke rol bij het faciliteren van cybercrime. De broker regelt toegang tot systemen van organisaties, waarna deze toegang aan onder andere ransomwaregroepen wordt verkocht. De broker in kwestie, door Google Exotic Lily genoemd, zou meer van vijfduizend e-mails per dag naar 650 organisaties wereldwijd versturen. In eerste instantie ging het om partijen in de gezondheidszorg, it en cybersecurity, maar volgens Google valt de broker nu meer organisaties en industrieën aan. Voor de aanvallen maakt de broker gebruik van domeinen die op die van de aangevallen organisatie lijken. Vervolgens stuurt de broker een e-mail die van een medewerker van de betreffende organisatie afkomstig lijkt en linkt naar een document. In werkelijkheid gaat het om malware. Vorig jaar september ontdekten onderzoekers dat Exotic Lily hierbij een zerodaylek in Internet Explorer gebruikte. De kwetsbaarheid (CVE-2021-40444) bevond zich in MSHTML, de door Microsoft ontwikkelde browser-engine van Internet Explorer. MSHTML wordt ook door Office-applicaties gebruikt voor het weergeven van webcontent in documenten. Bij de aanvallen stuurden de aanvallers hun doelwit een Microsoft Office-bestand. Wanneer de gebruiker dit document opende werd er een kwaadaardig ActiveX-control geladen dat het systeem uiteindelijk met malware infecteerde. Na het versturen van documenten die het IE-lek gebruikten, en waarvoor Microsoft in september met een update kwam, besloot de broker over te stappen op het linken naar ISO-bestanden. Op basis van de communicatie van de broker blijkt die volgens Google standaard kantoortijden van negen tot vijf aan te houden, met weinig activiteit in het weekend. Op basis van de werkuren vermoedt Google dat de broker vanuit Centraal of Oost-Europa opereert. Naast informatie over de werkwijze heeft het techbedrijf ook indicators of compromise gegeven, zoals domeinen, ip-adressen en hashes van bestanden die de broker gebruikt.

Exposing Initial Access Broker With Ties To Conti
PDF – 555,9 KB 136 downloads

Spectrumcollege opnieuw slachtoffer van cyberaanval

Het Spectrumcollege, met campussen in Beringen en Lummen, is opnieuw het slachtoffer geworden van een cyberaanval. Het is al de derde keer op twee weken tijd dat de school door hackers geviseerd wordt. Volgens de schooldirectie gaat het om een DDOS-aanval, waardoor het computernetwerk slecht of helemaal niet meer bereikbaar is voor medewerkers of klanten. Ook heel wat Limburgse bedrijven zouden door de aanval van gisteren getroffen zijn. Wie er achter de cyberaanval zit is nog niet duidelijk. Het Spectrumcollege heeft sinds oktober een klacht tegen onbekenden lopen bij de politie.


Cyberaanval op geldautomaten

Criminelen zijn erin geslaagd om Oracle Solaris-servers van banken met een rootkit te infecteren die vervolgens fraude met geldautomaten mogelijk maakte. Dat meldt securitybedrijf Mandiant in een analyse. Hoeveel geld erbij de aanvallen is buitgemaakt is onbekend. De rootkit wordt Caketap genoemd en is een "kernel module rootkit" voor Oracle Solaris. Caketap kan netwerkverbindingen, processen en bestanden verbergen en is op de ATM switch server van banken aangetroffen. Deze server regelt het verkeer tussen de bank en de geldautomaat. De rootkit werd gebruikt voor ongeautoriseerde transacties door frauduleuze bankkaarten. Wanneer een bankklant met zijn betaalkaart geld bij een geldautomaat opneemt, wordt er een bericht tussen de automaat en bankserver uitgewisseld. Zo worden de pincode en betaalkaart van de klant geverifieerd. In het geval van een legitieme klant slaat Caketap deze ATM-pinverificatie op. Wanneer de rootkit ziet dat er met een frauduleuze betaalkaart wordt gepind, speelt het de eerder opgenomen pinverificatie van de legitieme klant af, zodat de frauduleuze betaalkaart wordt geaccepteerd. Daarnaast manipuleert de rootkit ook berichten bedoeld voor de Payment Hardware Security Module (HSM) van de server. Caketap wijzigt de mode van verschillende uitgaande berichten om zo de verificatie van de betaalkaart uit te schakelen. Hierdoor kan de HSM de betaalkaart niet verifiëren en genereert bij de frauduleuze betaalkaart een geldige respons. Hierdoor zal de geldautomaat de frauduleuze bankkaart accepteren waarna criminelen er geld mee kunnen opnemen. Volgens Mandiant heeft een groep criminelen, aangeduid als UNC2891, Caketap ingezet als onderdeel van een grotere operatie waarbij ongeautoriseerde geldopnames bij geldautomaten van verschillende banken werden uitgevoerd. Hoe de groep toegang tot de bankservers weet te krijgen is onbekend.


FBI: kwetsbaarheid in Duo MFA-protocol misbruikt bij aanval op NGO

Aanvallers hebben vorig jaar een NGO door middel van een zwak wachtwoord, een kwetsbaarheid in Cisco’s Duo multifactorauthenticatie (MFA)-protocol en het PrintNightmare-lek in Windows weten te compromitteren, zo claimt de FBI. De aanvallers wisten via een bruteforce-aanval toegang tot een account met een eenvoudig, voorspelbaar wachtwoord te krijgen. De aangevallen organisatie maakte gebruik van een oplossing van MFA-leverancier Duo voor het beveiligen van accounts. Het gecompromitteerde account was echter vanwege een lange periode van inactiviteit afgemeld bij Duo, maar niet uitgeschakeld in de Active Directory van de NGO. De standaardconfiguratie van Duo maakt het mogelijk om een nieuw apparaat voor een inactief account aan te melden. Zo konden de aanvallers hun eigen apparaat aan het gecompromitteerde account toevoegen, aan de authenticatievereisten voldoen en zo toegang tot het NGO-netwerk krijgen. Vervolgens maakten de aanvallers gebruik van het PrintNightmare-lek in Windows om hun rechten te verhogen en beheerder te worden. Ook wijzigden de aanvallers het domeincontrollerbestand, waardoor Duo MFA calls niet naar de Duo-server gingen, maar naar localhost. Hierdoor kan de MFA-service de server niet benaderen om de MFA-login te valideren, wat in principe multifactorauthenticatie voor actieve domeinaccounts uitschakelde. "Omdat het standaardbeleid van Duo voor Windows "Fail open" is wanneer de MFA-server niet kan worden bereikt. "Fail open" kan bij elke MFA-implementatie voorkomen", aldus de FBI. Na het effectief uitschakelen van MFA wisten de aanvallers op de VPN van de organisatie in te loggen en RDP-verbindingen naar domeincontrollers op te zetten. Vervolgens werden inloggegevens van andere domeinaccounts gestolen en de MFA-configuratie aangepast, zodat er voor deze nieuw gecompromitteerde accounts geen MFA meer was vereist. De aanvallers maakten hierbij voornamelijk gebruik van interne Windows-tools. Uiteindelijk wisten de aanvallers zich lateraal door het netwerk te bewegen en toegang te krijgen tot de cloudopslag en e-mailaccounts van de NGO. Volgens de FBI was de aanval het werk van door de Russische staat gesponsorde aanvallers. De FBI adviseert organisaties om verschillende maatregelen te nemen om dergelijke aanvallen te voorkomen. Zo moet MFA voor alle gebruikers zonder uitzondering worden ingesteld. Voor de implementatie moet echter het configuratiebeleid worden gecontroleerd om "Fail open" en het opnieuw aanmelden van apparaten te voorkomen. Verder wordt organisaties geadviseerd om een time-out en lock-out voor herhaaldelijk mislukte inlogpogingen in te stellen en ervoor te zorgen dat inactieve accounts overal zijn uitgeschakeld, zowel in de Active Directory, MFA-oplossing als andere systemen. Duo roept organisaties op om meteen hun accountstatus te controleren en doet verder verschillende aanbevelingen.


BlackBerry ontdekt nieuwe LokiLocker-ransomware

Het onderzoeksteam van BlackBerry heeft een nieuwe vorm van ransomware gedetecteerd, genaamd LokiLocker. In de Noorse mythologie was Loki de vijand van de goden die van gedaante kon veranderen. LokiLocker versleutelt eerst de bestanden van het slachtoffer op lokale schijven en netwerkshares. Vervolgens moeten slachtoffers per e-mail contact opnemen om instructies te krijgen over hoe het losgeld te betalen. LokiLocker is een relatief nieuwe ransomware-familie die zich voornamelijk richt op Engelstalige slachtoffers en Windows-pc’s. Net als het gelijknamige mythologische figuur, verschijnt LokiLocker onuitgenodigd en probeert het direct kostbaar bezit buit te maken. BlackBerry kan bevestigen dat LokiLocker in bedrijfsomgevingen is gedetecteerd. Het begin van de ransomware is teruggeleid tot trojanized brute-checker hacking-tools voor populaire consumentendiensten, zoals Spotify en PayPal. Deze vorm van ransomware kan ongelooflijk destructief en wraakzuchtig zijn: wanneer het slachtoffer niet betaalt binnen het door de aanvaller gespecificeerde tijdsbestek, worden alle data verwijderd. Daarnaast wordt het master boot record (MBR) overschreven, waarbij alle bestanden van het slachtoffer worden gewist en het systeem onbruikbaar raakt.

New Ransomware Family Identified Loki Locker Raa S Targets Windows Systems
PDF – 832,7 KB 192 downloads

CryptoRom Bitcoin-oplichters blijven zich richten op kwetsbare iPhone- en Android-gebruikers

Crypto Rom Bitcoin Swindlers Continue To Target Vulnerable I Phone And Android Users
PDF – 559,1 KB 172 downloads

Duitse overheid adviseert alternatief voor antivirussoftware Kaspersky te zoeken

De Duitse overheid waarschuwt organisaties voor het gebruik van antivirussoftware van de Russische fabrikant Kaspersky. Het federaal bureau voor informatiebeveiliging (BSI) raadt aan om programma's van Kaspersky te vervangen door alternatieven. Volgens de overheid is er vanwege de oorlog in Oekraïne een verhoogd risico op cyberaanvallen vanuit Rusland op Duitse systemen. Omdat Kaspersky van origine een Russisch bedrijf is, heeft de BSI twijfels over het vertrouwen in de betrouwbaarheid en de bescherming van de fabrikant. "Een Russische IT-fabrikant kan zelf aanvallen uitvoeren of tegen zijn wil worden gedwongen om dat te doen", schrijft de Duitse organisatie. "Alle gebruikers van antivirussoftware kunnen door dergelijke aanvallen worden getroffen. Vooral bedrijven en overheden met bijzondere veiligheidsbelangen en bedrijven in de vitale infrastructuur lopen gevaar." Of er concrete aanwijzingen zijn dat software van Kaspersky inderdaad wordt misbruikt, is niet bekend. Toch adviseert de BSI om voor de zekerheid over te stappen op alternatieve programma's. In Nederland werd software van Kaspersky in 2018 uitgefaseerd bij overheidsinstanties. Toenmalig minister Ferd Grapperhaus van Justitie en Veiligheid zei destijds dat het bedrijf de antivirusprogramma's zou kunnen gebruiken voor Russische spionage. Kaspersky reageerde teleurgesteld en zei dat het bedrijf aanpassingen had aangebracht "om de integriteit van de antivirussoftware te borgen".


Nieuwe Nokoyawa-ransomware mogelijk gerelateerd aan Hive

New Nokoyawa Ransomware Possibly Related To Hive Trendmicro
PDF – 864,0 KB 179 downloads

Intel 471 Whitepaper - Ransomware-varianten


Malafide afbeelding en PDF laat aanvaller code op iPhones uitvoeren

Verschillende kwetsbaarheden in iOS maken het mogelijk voor aanvallers om willekeurige code op iPhones en iPads uit te voeren. Alleen het bezoeken van een malafide of gecompromitteerde website of het openen van een malafide afbeelding of PDF zijn voldoende. Apple heeft beveiligingsupdates uitgebracht om de problemen te verhelpen. Met iOS 15.4 en iPadOS 15.4 zijn in totaal 39 kwetsbaarheden verholpen. Vijf daarvan maken "arbitrary code execution" mogelijk en bevinden zich onder andere in WebKit. Dit is de door Apple ontwikkelde browser-engine waar alle browsers op iOS gebruik van maken. Een ander WebKit-lek maakt het mogelijk voor malafide websites om "gevoelige gebruikersinformatie" te achterhalen. Verder zijn er verschillende beveiligingslekken opgelost waardoor een aanvaller met fysieke toegang tot een vergrendelde iPhone of iPad foto's, gevoelige informatie, locatiegegevens en telecomprovidergegevens kan bemachtigen, alsmede de ingestelde telecomprovider kan wijzigen. Het blijkt daarnaast dat gebruikers via FaceTime audio en video kunnen versturen zonder dat ze dit zelf door hebben. Updaten naar iOS 15.4 en iPadOS 15.4 kan via iTunes en de Software Update-functie.


Kritieke kwetsbaarheid in Citrix ShareFile actief misbruikt bij aanvallen

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Citrix ShareFile waarvoor afgelopen september een beveiligingsupdate verscheen. Dat meldt securitybedrijf CrowdStrike op basis van eigen bevindingen. Citrix ShareFile is een oplossing voor het synchroniseren en delen van bestanden. Vorig jaar werd er een path traversal-kwetsbaarheid in de oplossing ontdekt waardoor een ongeauthenticeerde gebruiker een bestand op een aangevallen server kan overschrijven en zo op afstand code kan uitvoeren. De impact van het beveiligingslek, aangeduid als CVE-2021-22941, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Volgens CrowdStrike maakt een groep criminelen genaamd "Prophet Spider" misbruik van de kwetsbaarheid in Citrix ShareFile om Microsoft Internet Information Services (IIS) webservers te compromitteren. Via het lek werd een webshell geïnstalleerd waarmee verdere aanvallen zijn uit te voeren. Het uiteindelijke doel van de waargenomen aanval is onbekend. De groep in kwestie zou het in verleden toegang tot systemen hebben verkocht, die vervolgens met ransomware werden besmet. De Amerikaanse overheid houdt een lijst van actief aangevallen kwetsbaarheden bij die inmiddels bijna vijfhonderd beveiligingslekken telt, maar het lek in Citrix ShareFile ontbreekt hierop.


Israëlische overheidswebsites plat door grote cyberaanval

Meerdere Israëlische overheidswebsites zijn maandag getroffen door een cyberaanval. Het zou de grootste cyberaanval ooit tegen Israël zijn. Onder andere de websites van de ministeries van Binnenlandse Zaken, Volksgezondheid, Justitie en Welzijn gingen offline, evenals die van het kabinet van de minister-president. Dat meldden Israëlische media. Het Israëlische ministerie van Communicatie sprak van een "brede cyberaanval". Wie daarvoor verantwoordelijk is, werd niet gezegd. Volgens het nationale cyberagentschap werd een provider aangevallen met een DDoS-aanval, waardoor onder andere overheidswebsites korte tijd uit de lucht waren. "Inmiddels zijn alle websites weer operationeel", meldt de instantieEen bron bij defensie zegt tegen de krant Haaretz dat dit de grootste cyberaanval ooit is die tegen Israël is uitgevoerd. Het vermoeden bestaat dat een staat of een grote organisatie achter de aanval zit. Volgens Reuters hebben Israëlische overheidswoordvoerders gewezen op een mogelijke betrokkenheid van Iran of door Iran gesteurde groeperingen.

Vertaald vanuit het Hebreeuws door:
De Nationale Cyber Autoriteit en het Nationaal Cyber Systeem stellen: De afgelopen uren is een denial-of-service-aanval op een communicatieprovider geconstateerd, waardoor de toegang tot een aantal sites, waaronder overheidssites, tijdelijk is ontzegd.
Vanaf dit uur zijn alle locaties weer actief.


Weer nieuwe malware ontdekt die Oekraïense computers onklaar maakt

Opnieuw hebben beveiligingsonderzoekers malware ontdekt die het heeft voorzien op Oekraïense computers. De makers hadden hoogstwaarschijnlijk al langer toegang tot de getroffen computers en netwerken. Het gaat om een zogenoemde wiper, malware die is gemaakt om de inhoud van een computer volledig te verwijderen en de computer zo onklaar te maken. De nieuwste wiper is ontdekt door beveiligingsbedrijf ESET en heeft de naam CaddyWiper gekregen. Het is de derde wiper die is aangetroffen in Oekraïne sinds Rusland het land drie weken geleden binnenviel. Eerder ontdekte ESET al malware die het HermeticWiper en IsaacWiper noemde. Deze nieuwe wiper is volgens ESET aangetroffen binnen 'een beperkt aantal organisaties' in Oekraïne. Veel details over de malware geeft ESET niet, wel is duidelijk dat deze wiper zich richt op de gebruikers- en partitiedata. Het volledige systeem is daarmee niet helemaal onbruikbaar, vermoedelijk zodat de wiper zichzelf verder kan verspreiden over het aangesloten netwerk. ESET vermoedt dat CaddyWiper net zoals de vorige twee wipers ook al langer op de getroffen computers aanwezig was. De aanvallers hebben gewacht met het activeren van de wipers tot een bepaald moment. Hoewel de activatie van de wipers samenvalt met de start van de aanval op Oekraïne, is ESET terughoudend met het leggen van directe verbanden. Er wordt geen mogelijke dader aangewezen, laat staan dat Rusland of Russische hackers worden aangewezen als mogelijke makers van de malware.


Nieuwe IceFire ransomware


Ransomwaregroep Pandora legt claim op cyberaanval bij Denso

Auto-onderdeelfabrikant Denso is slachtoffer van een cyberaanval. De organisatie bekent dat cybercriminelen op 10 maart binnendrongen in het Duitse bedrijfsnetwerk. Volgens Denso is er geen impact op de productie. Denso produceert auto-onderdelen voor grote namen als Toyota, Honda en Ford. In 2021 boekte de organisatie een omzet van meer dan 40 miljard euro. Denso heeft meer dan 100 fabrieken wereldwijd. De Duitse kantoren en fabrieken worden met een nationaal netwerk verbonden. Vandaag liet Denso weten dat het netwerk op 10 maart is geïnfiltreerd.  Denso detecteerde meerdere ongemachtigde devices. De devices zijn zo snel mogelijk van het netwerk verwijderd. Volgens de organisatie is de impact beperkt tot een of meerdere Duitse kantoren. De productie in Duitsland en andere landen zou onaangetast zijn. Denso staat in contact met Duitse autoriteiten en cybersecurityspecialisten, maar deelt niets over de aanvalssoort, schade of het motief. Ransomwaregroep Pandora beweert verantwoordelijk te zijn. De cybercriminelen kondigden via een leak site aan dat er 1,4TB aan data is versleuteld. Ransomwaregroepen gebruiken leak sites om slachtoffers openlijk onder druk te zetten. Vaak voegen de cybercriminelen een sample van de gestolen bestanden toe. De sample van Pandora bevat inkooporders, technische tekeningen en NDA-overeenkomsten. Hoewel Pandora beweert dat de gegevens via de aanval op Denso zijn gestolen, is de herkomst nog bevestigd.


De Conti-ransomware lek

The Conti Ransomware Leaks
PDF – 472,7 KB 180 downloads

Cyberaanval op grote Eindhovense accountant; gijzelsoftware legt Crowe Foederer lam

Eén van de grootste accountantskantoren in de regio is getroffen door een digitale aanval. Het gaat om Crowe Foederer, de huisaccountant van diverse gemeenten en grote bedrijven in Zuidoost-Brabant. Of losgeld is geëist, wil het bedrijf niet zeggen. Cybercriminelen leggen de Eindhovense accountant Crowe Foederer al dagenlang lam. De computers van het bedrijf zijn besmet met gijzelsoftware. De aanvallers hebben de bedrijfsbestanden en computerprogramma's vergrendeld. Ook e-mail is niet beschikbaar. Dat heeft het bedrijf maandag bevestigd. 

UPDATE Phishing Mails En Cyberaanval Crowe Foederer Crowe Foederer
PDF – 42,4 KB 143 downloads

Nieuwe Acepy ransomware


Universiteitsblad weigert te spreken van ‘mensen die menstrueren’, dus activisten legden de website plat

Universiteit Maastricht - Volgens de groep Anonymous zou het blad Observant „valse journalistiek en haatdragende opinie-artikelen” publiceren. De redactie ontkent dat. De website van het universiteitsblad Observant in Maastricht is half januari drie dagen platgelegd door anonieme activisten. Dit meldt Observant deze dinsdag. In een e-mail van 24 januari aan de redactie eist de groep Anonymous de ddos-aanval op. In het Engels schrijft de groep: „Observant publiceert valse journalistiek en haatdragende opinie-artikelen die het een podium maken voor extreem-rechts. Racisme en transfobie zijn steeds dominanter aanwezig bij Observant. We hebben de redactie gemeld dat we hun site zouden platleggen en hebben dat uiteindelijk ook gedaan.” De redactie heeft aangifte gedaan bij de politie. Die heeft het onderzoek inmiddels gestaakt wegens gebrek aan bewijs. Wie precies achter de aanval zit, is niet te achterhalen, volgens hoofdredacteur Riki Janssen. Observant is beslist niet „transfoob, seksistisch of racistisch”, zegt Janssen. „We proberen alle perspectieven in elk debat aan het woord te laten.” Volgens Janssen hebben de cybercriminelen maar één doel: „Observant de mond snoeren.”


Bridgestone Americas sluit fabrieken wegens ransomware-aanval

Bandenfabrikant Bridgestone Americas heeft wegens een ransomware-aanval verschillende fabrieken in Noord- en Latijns-Amerika gesloten. Eind februari maakte het bedrijf melding van een "informatiebeveiligingsincident". Uit voorzorg werd besloten systemen offline te halen. Ook werd personeel naar huis gestuurd. De aanval werd opgeëist door de criminelen achter de LockBit-ransomware. Die dreigden ook gestolen gegevens te zullen publiceren, tenzij Bridgestone losgeld betaalde. De bandenfabrikant heeft naar eigen zeggen in Amerika meer dan vijftig productielocaties en telt 55.000 medewerkers. Details over de aanval zijn niet openbaar gemaakt. Vorige week meldde Bridgestone dat het bezig was met het herstel van systemen en er werd gewerkt aan volledig operationele status.


Pandora Ransomware - The Box is al een tijdje open ...

Vandaag gaan we kijken naar "Pandora Ransomware", een nieuwe Ransomware-stam die al een paar dagen wordt gecontroleerd, bijvoorbeeld door MalwareHunterTeam, maar in eerste instantie was er geen monster beschikbaar.

Quick Revs Pandora Ransomware The Box Has Been Open For A While
PDF – 1,7 MB 180 downloads

Nordnet en BigBlu buiten dienst door een Russische cyberaanval

Hij zal zeker moeten veranderen Nordnet en BigBlu operatorfondsen. Het lag twee weken plat na een grootschalige cyberaanval op de internettoegangsdienst van de geostationaire satelliet KA-SAT. Ongeveer 10.000 Franse gebruikers zullen worden getroffen. Nordnet maakte op 10 maart bekend dat het elke klant heeft gecontacteerd en sluit niet langer de mogelijkheid uit om de dozen te vervangen.

Misschien zou Bigblu hetzelfde moeten doen, volgens informatie die op 7 maart op zijn site is geplaatst. Op een hoogte van 36.000 km boven het aardoppervlak werd de KA-SAT-satelliet niet geraakt. Het was het vaste netwerk van de Amerikaanse eigenaar Viasat dat het doelwit was, waardoor de modems van gebruikers buiten dienst werden gesteld. Ze werken niet meer ondanks de inspanningen van commerciële operatoren om ze op afstand opnieuw op te starten. Deze dozen zijn wat we noemen geruïneerdof onbruikbaar, zoals getuigenissen die op siteforums zijn geplaatst Lavipreinfo getuigen daarvan. U moet fysiek ingrijpen op het apparaat en de modemchip demonteren. Te duur en te ingewikkeld voor operators. Vandaar het idee om ze te vervangen. 


Soorten cyberaanvallen

TYPES OF CYBER ATTACKS
PDF – 511,7 KB 177 downloads

Analyse van nieuwe BlackCat ransomware met versleutelde configuratie


BlackCat ransomware releases nieuwe versie


Toyota leverancier Denso geraakt door cyberaanval

De Japanse onderdelenfabrikant Denso is donderdag aangevallen door cybercrime groep Pandora. Dit melden verschillende internationale media op basis van de Japanse publieke omroep NHK. Pandora zegt 1,4 terabyte aan informatie te hebben buitgemaakt, waaronder meer dan 157 duizend inkooporders, e-mails en schetsen. De informatie zou deels vertrouwelijk zijn. Denso is de op een na grootste toeleverancier voor de automobielindustrie wereldwijd. Eerder deze maand werd Koijma, een andere toeleverancier van Toyota, geraakt door een cyberaanval. Toen werden alle fabrieken van de automaker stilgelegd.  Denso heeft middels in een statement de aanval bevestigd. Het bedrijf meldt dat "het netwerk in Duitsland op 10 maart 2022 illegaal is benaderd door een derde partij. Na het detecteren van de ongeoorloofde toegang verbrak Denso onmiddellijk de netwerkverbinding van apparaten die ongeautoriseerde toegang kregen". Denso benadrukt dat er geen impact is op andere faciliteiten dan die in Duitsland. Ook is de productie niet onderbroken. Het bedrijf onderzoekt met gespecialiseerde cyberbeveiligingsbureaus de cyberaanval. Over wat voor soort en hoeveel data er is buitgemaakt, doet het bedrijf geen uitspraken.


Cyberaanval op Duitse dochter Russisch olieconcern Rosneft

Het Duitse dochterbedrijf van het grote Russische olieconcern Rosneft is aangevallen door hackers. Volgens de internationale hackersgroep Anonymous werd daarbij grote schade aangericht. De hack werd bevestigd door de Duitse overheid na een melding van het Duitse onderdeel van Rosneft. Volgens de hackers werd een grote hoeveelheid informatie buitgemaakt. Anonymous gaat nu de informatie bekijken, maar zegt niet alles te zullen publiceren. Rosneft Deutschland heeft belangen in drie raffinaderijen in Duitsland en was in de afgelopen jaren goed voor ongeveer een kwart van de import van ruwe olie in het land. De voormalige bondskanselier Gerhard Schröder is voorzitter van de raad van commissarissen van Rosneft. Anonymous heeft al meerdere cyberaanvallen uitgevoerd tegen organisaties en bedrijven die banden hebben met de Russische regering vanwege de oorlog in Oekraïne.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten